2 पॉइंट द्वारा GN⁺ 2025-01-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Gravy Analytics के हैक हुए फ़ाइलों से हज़ारों ऐप्स के नाम और लोकेशन डेटा सामने आए, जिससे यह संभावना बढ़ी कि लोकप्रिय ऐप्स डेवलपर SDK की बजाय ad ecosystem के ज़रिए संवेदनशील लोकेशन कलेक्शन में इस्तेमाल हुए
  • मुख्य रास्ते के रूप में RTB bid stream की पहचान की गई है, और इसमें वास्तविक विज्ञापन चलाए बिना भी जुड़े हुए पक्ष डिवाइस लोकेशन और IP-आधारित लोकेशन इकट्ठा कर सकते हैं
  • सूची में Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail के साथ-साथ प्रेग्नेंसी·पीरियड ट्रैकिंग ऐप्स, धार्मिक ऐप्स और VPN ऐप्स भी शामिल हैं
  • Gravy लोकेशन डेटा को कमर्शियल ग्राहकों को बेचता रहा है और अपनी सहायक कंपनी Venntel के ज़रिए अमेरिकी सरकारी एजेंसियों को भी उपलब्ध कराता रहा है; Venntel का डेटा Locate X जैसे सरकार द्वारा खरीदे गए निगरानी टूल्स में भी इस्तेमाल हुआ है
  • भले ही ऐप डेवलपर ने सीधे लोकेशन कलेक्शन कोड न डाला हो, ad bidding प्रक्रिया में डेटा बाहर जा सकता है, इसलिए यूज़र सुरक्षा का फोकस सिर्फ ऐप से बढ़कर ad tech supply chain तक फैल गया है

Gravy हैक फ़ाइलों ने उजागर की लोकेशन डेटा सप्लाई चेन

  • हैक फ़ाइलों में Android और iOS के हज़ारों ऐप्स शामिल थे, और कुछ फ़ाइलों में हर लोकेशन डेटा के साथ ऐप नाम भी दर्ज था
  • डेटा में अमेरिका, रूस और यूरोप के मोबाइल डिवाइसों के करोड़ों coordinates शामिल हैं
  • क्योंकि कलेक्शन का रास्ता ऐप निर्माता द्वारा डाला गया कोड नहीं बल्कि ad ecosystem लगता है, संभव है कि सिर्फ यूज़र ही नहीं बल्कि ऐप डेवलपर भी इस कलेक्शन से अनजान रहे हों
  • कुछ लोकेशन डेटा में timestamp नहीं है, लेकिन सूची में मई 2024 में लॉन्च हुआ Call of Duty: Mobile Season 5 शामिल है, जिससे 2024 के डेटा होने का संकेत मिलता है
  • यह स्पष्ट नहीं है कि Gravy ने डेटा सीधे इकट्ठा किया, किसी दूसरी कंपनी से लिया, या आख़िरकार किस लोकेशन डेटा कंपनी ने इसे own या license किया

शामिल ऐप्स और सार्वजनिक सूची

  • 404 Media ने हैक फ़ाइलों से ऐप नाम निकालकर सूची बनाई और पूरी सूची Google Sheets पर सार्वजनिक की
  • ऐप सूची गेम, डेटिंग, हेल्थ, ट्रांसपोर्ट, कामकाज, धर्म, VPN जैसी कई कैटेगरी में फैली है
    • गेम: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • डेटिंग ऐप्स: Tinder, Grindr
    • हेल्थ·लाइफ़स्टाइल ऐप्स: MyFitnessPal, My Period Calendar & Tracker
    • ट्रांसपोर्ट·एविएशन ऐप्स: Moovit, Flightradar24
    • सोशल·वर्क ऐप्स: Tumblr, Yahoo Mail, Microsoft 365
    • संवेदनशील कैटेगरी ऐप्स: प्रेग्नेंसी ट्रैकिंग ऐप्स, मुस्लिम नमाज़ ऐप्स, क्रिश्चियन बाइबिल ऐप्स, कई VPN ऐप्स
  • Android और iOS दोनों ऐप्स शामिल थे, और जिन ऐप्स के नाम थोड़ा अलग होकर दोहराए गए थे उन्हें भी यूज़र के लिए इंस्टॉल किए गए ऐप्स ढूंढना आसान बनाने हेतु रखा गया
  • कई सुरक्षा शोधकर्ताओं ने अलग-अलग आकार की ऐप सूचियाँ अलग से भी सार्वजनिक कीं

RTB को मुख्य रास्ता क्यों माना जा रहा है

  • Silent Push के Zach Edwards का कहना है कि Gravy डेटा इस बात का सार्वजनिक सबूत लगता है कि डेटा ऐप के embedded code से नहीं बल्कि ऑनलाइन विज्ञापन bidding stream से लिया गया
  • पहले लोकेशन डेटा कंपनियाँ ऐप डेवलपर्स को भुगतान करके लोकेशन कलेक्शन code bundle ऐप में डलवाती थीं, लेकिन अब ऐप के अंदर ad bidding के दौरान लोकेशन जानकारी लेने का तरीका भी इस्तेमाल हो रहा है
  • real-time bidding में कंपनियाँ ऐप के भीतर ad inventory खरीदने के लिए बोली लगाती हैं, और data broker इस प्रक्रिया को देखकर मोबाइल डिवाइस लोकेशन इकट्ठा कर सकते हैं
  • निगरानी कंपनियाँ ad tech कंपनियाँ खरीदकर या संभावित विज्ञापनदाता बनकर RTB डेटा तक पहुँच बना सकती हैं
    • उन्हें विज्ञापन वास्तव में जीतने या दिखाने की ज़रूरत नहीं होती
    • ad industry से सिर्फ जुड़े होने भर से डिवाइस डेटा इकट्ठा किया जा सकता है
  • इस स्थिति में लोकेशन डेटा में यूज़र का IP address शामिल हो सकता है, और IP को geolocation में बदलकर मोटा-मोटी लोकेशन निकाली जा सकती है

शोधकर्ताओं को दिखे तकनीकी संकेत

  • Adalytics के संस्थापक Krzysztof Franaszek का आकलन है कि कुछ डेटा संभवतः विज्ञापन-संबंधित RTB से जुटाया गया
  • कुछ फ़ाइलों के user-agent में afma-sdk स्ट्रिंग थी, जो Google Mobile Ads SDK में इस्तेमाल होती है
  • यह संकेत देता है कि कुछ मामलों में Google ad platform ने विज्ञापन डिलीवर किए, और वही ad flow बाहरी कंपनियों या संभावित सरकारी ठेकेदारों द्वारा ट्रैकिंग तक पहुँचा हो सकता है
  • Franaszek का मानना है कि डेटा का बड़ा हिस्सा GNSS/GPS नहीं बल्कि IP address-आधारित geolocation lookup से निकाला गया प्रतीत होता है
  • Edwards का कहना है कि ऐप्स की अत्यधिक विविधता वाला यह पैटर्न SDK-आधारित कलेक्शन की तुलना में बड़े पैमाने के RTB कलेक्शन से अधिक मेल खाता है
  • Google और Apple ने कई बार टिप्पणी माँगे जाने पर जवाब नहीं दिया

Gravy, Venntel और सरकारी निगरानी टूल्स का संबंध

  • Gravy ऐसी कंपनी है जो कई स्रोतों से मोबाइल लोकेशन डेटा इकट्ठा कर कमर्शियल कंपनियों को बेचती है
  • अपनी सहायक कंपनी Venntel के ज़रिए यह अमेरिकी सरकारी एजेंसियों को भी लोकेशन डेटा बेचती रही है
  • Venntel के ग्राहकों में Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI और Drug Enforcement Administration शामिल रहे हैं
  • Venntel ने Babel Street के सरकारी निगरानी टूल Locate X को आधारभूत डेटा दिया
  • 404 Media और अन्य मीडिया ने पिछले वर्ष दिखाया था कि Locate X का इस्तेमाल राज्य से बाहर गर्भपात क्लिनिक जाने वाले लोगों की निगरानी के लिए किया जा सकता है

ऐप कंपनियों की प्रतिक्रियाएँ

  • Flightradar24 ने कहा कि उसने Gravy का नाम नहीं सुना, लेकिन वह विज्ञापन दिखाता है और विज्ञापन Flightradar24 को मुफ्त बनाए रखने में मदद करते हैं
  • Tinder ने कहा कि उसका Gravy Analytics से कोई संबंध नहीं है और इस बात का कोई सबूत नहीं है that data Tinder ऐप से लिया गया, लेकिन ऐप के अंदर विज्ञापनों पर सवालों का जवाब नहीं दिया
  • Muslim Pro ने कहा कि वह Gravy को नहीं जानता, और free version को support करने के लिए कई ad networks के ज़रिए विज्ञापन दिखाता है, लेकिन वह उन networks को यूज़र लोकेशन डेटा इकट्ठा करने की अनुमति नहीं देता
  • Grindr ने कहा कि उसने कभी Gravy Analytics के साथ काम नहीं किया, न ही उसे डेटा दिया, और वह डेटा aggregators या brokers के साथ डेटा साझा नहीं करता तथा कई वर्षों से ad partners के साथ लोकेशन जानकारी साझा नहीं की है
  • अधिकांश ऐप डेवलपर्स और कंपनियों ने टिप्पणी के अनुरोधों का जवाब नहीं दिया

रेगुलेशन और डेटा सत्यापन

  • दिसंबर 2024 में FTC ने Mobilewalla को ऑनलाइन ad auctions से consumer data इकट्ठा कर उसे नीलामी में भाग लेने के अलावा किसी और उद्देश्य के लिए इस्तेमाल करने से रोका
  • FTC ने कहा कि Venntel और Gravy ने यूज़र की सहमति के बिना डेटा इकट्ठा किया और पुराने लोकेशन डेटा को हटाने का आदेश दिया
  • हेल्थ क्लिनिक और पूजा स्थलों जैसे संवेदनशील क्षेत्रों से जुड़े डेटा की बिक्री पर भी रोक लगाई गई, हालांकि national security या law enforcement से जुड़े सीमित अपवाद बने हुए हैं
  • 404 Media ने हैक हुए Gravy डेटा को कई तरीकों से सत्यापित किया
    • कुछ फ़ाइलों में data warehousing tool Snowflake के Gravy instance के credentials शामिल थे
    • हैक फ़ाइलों के URL का वास्तविक Snowflake instance से मेल खाना जाँचा गया
    • users फ़ाइल में कंपनियों की सूची थी, और कुछ कंपनियों ने Gravy से संबंध से इनकार किया
  • Cuebiq ने कहा कि वह नियमित रूप से market data का मूल्यांकन करता है, लेकिन यह मामला सीमित data sample test था, ग्राहकों को नहीं दिया गया था, और परीक्षण खत्म होने के बाद हटा दिया गया
  • Datonics ने कहा कि फ़ाइलों में मौजूद segment ID, Datonics की नहीं बल्कि Gravy की थी
  • 2023 में Gravy के साथ मर्ज हुई Unacast ने हैक और RTB-आधारित लोकेशन डेटा derivation पर कई टिप्पणी अनुरोधों का जवाब नहीं दिया

1 टिप्पणियां

 
GN⁺ 2025-01-11
Hacker News की राय
  • ऐप के निचले हिस्से में जब भी कोई छोटा banner ad दिखता है, उस ad inventory के लिए तुरंत auction होता है
    Google bidders को जानकारी देता है, और bidders हिसाब लगाते हैं कि वह विज्ञापन दिखाने के लिए वे कितना भुगतान करेंगे
    यानी auction हारने वाले पक्ष को भी data waterfall मिल जाता है, और शुरुआत से ही auction हारकर data collect करने के मकसद वाली कंपनियां मौजूद हैं
    इसलिए यह हैरानी की बात नहीं कि CIA के non-classified investment arm In-Q-Tel ने ऐसे analytics, यानी digital surveillance कंपनियों में निवेश किया

    • यह लिंक साफ कहता है कि auction जीते बिना भी data मिलता है
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      यह FTC की complaint है कि Mobilewalla ने real-time ad bidding exchanges में customers की ad inventory पर bid करते समय, bid न जीतने के बावजूद bid requests की जानकारी अनुचित रूप से collect और store की
      जनवरी 2018 से जून 2020 तक इसने 50 करोड़ से ज्यादा unique consumer advertising identifiers के साथ precise location data collect किया, raw location data anonymized नहीं था और sensitive locations हटाने की कोई policy भी नहीं थी, जिससे individual devices और visited places की पहचान की जा सकती थी
      कहा गया कि इस raw data की access advertisers, data brokers, analytics companies जैसे third parties को बेची गई
    • ad customers data नहीं देखते; कुछ ही exchanges देखते हैं
      header bidding में हिस्सा लेने पर वैसा ही data मिलता है जैसा popular mobile website चलाते समय देखा जा सकता है
      In-Q-Tel का exchange जैसे अच्छे arbitrage business में निवेश करना हैरानी की बात नहीं है; अच्छे investors अच्छे investments कर रहे हैं, यह कोई cynical surveillance strategy जैसा नहीं दिखता
    • “जिन कंपनियों का मकसद auction हारना है, लेकिन data collect करना है” वे Google terms का violation करती हैं
      लेकिन Google इसे enforce नहीं करता, क्योंकि यह explicitly user data बेचे बिना user data बेचने का तरीका है
    • हैरानी है कि ऐसे data waterfall के लिए कहां apply किया जा सकता है
      मासूमियत में लगता था कि Google ऐसी bidding internally handle करता होगा
    • हैरानी है कि यह Europe में legal है या आम practice है
  • article में जिस हिस्से को cover नहीं किया गया, वह है location कैसे collect की जाती है
    IP geolocation को location data collection कहना थोड़ा stretch है, क्योंकि यह आम तौर पर direct geolocation लेने जितना accurate नहीं होता, इसलिए broker से लेने की जरूरत नहीं होती
    लेकिन Android में ACCESS_COARSE_LOCATION और ACCESS_FINE_LOCATION दोनों के लिए permission dialog चाहिए, इसलिए जानना चाहता हूं कि यह असल में कैसे काम करता है

    • कम-से-कम कुछ हिस्सा, शायद ज्यादातर, ad bidding process में इस्तेमाल हुए IP addresses से derived लगता है
      इसमें कहा गया है: “इस geolocation dataset का एक बड़ा हिस्सा IP addresses को geolocation में lookup करके inferred लगता है। यानी suppliers या उनके sources GNSS/GPS data नहीं, बल्कि users के IP addresses देखकर geolocation निकालते हैं। यह संकेत देता है कि data पूरी तरह location data SDKs से नहीं आया है”
    • games द्वारा इस्तेमाल किए जाने वाले सभी IPs को track करना और उससे location tracking की कोशिश करना problem है—यह कहना overblown मानना मुश्किल है
      game को मेरी location track करने की कोशिश बिल्कुल नहीं करनी चाहिए, और सिर्फ इसलिए छूट नहीं मिलनी चाहिए कि technically accuracy कम है
    • ऐसी ad inventory Google Android के default system app GMS services का इस्तेमाल करती है, और इस app के पास device पर location समेत लगभग सभी access permissions होती हैं
      https://developers.google.com/android/reference/com/google/a...
    • Tinder location-based service है, इसलिए संभव है कि data उसी के जरिए collect किया जाता हो
      बाकी apps के बारे में पक्का नहीं कह सकता
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    CSV को https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... से डाउनलोड करके देखा जा सकता है कि फोन के ऐप्स में कोई matching item है या नहीं
    अपनी list देखकर मुझे दो बातें जाननी हैं: PodcastAddict का replacement app कौन-सा अच्छा है, paid version में क्या सिर्फ स्क्रीन ads दिखना बंद होता है या सारा ad traffic भी रुकता है, और MS Outlook आखिर इस list में आया कैसे

    • AntennaPod
    • यह list संदिग्ध है
      PodcastAddict तो location permission भी request नहीं करता[1]
      फिर यह location तक पहुंच कैसे सकता है? article को ध्यान से पढ़ें तो उसमें caveat है कि location शायद Gravy apps से आई ही न हो
      ज्यादा से ज्यादा IP location मिल सकती है, और वह तो वैसे भी हर website को जाने वाली जानकारी है जिस पर आप जाते हैं
      इसमें लिखा है, “यह dataset Gravy के hack से आया लगता है, लेकिन यह साफ नहीं है कि Gravy ने यह location data सीधे collect किया था, किसी दूसरी company से लिया था, या कौन-सी location data company अंततः इसकी owner थी या इसे use करने का license रखती थी”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • मैंने Podcast Addict developer से article के साथ पूछा, और जवाब word-for-word यह था
      “नमस्ते, मुझे समझ नहीं आ रहा कि यह email किस बारे में है। जाहिर है, सभी podcast apps streaming के लिए third-party content से connect करते हैं, इसलिए podcasters द्वारा इस्तेमाल किए जाने वाले hosting platforms, tracking services और advertising services user के IP address तक पहुंच सकते हैं।
      यह कहना कि podcast app IP address leak करता है, उतना ही मूर्खतापूर्ण है जितना यह कहना कि web browser ऐसा करता है। यह सिर्फ third-party content से connect करने वाला tool है, और VPN इस्तेमाल न करने पर जिस server से connect किया गया है वह हमेशा IP address तक पहुंच सकता है।
      app के पास user की location नहीं होती। जैसा कि आप देख सकते हैं, यह location permission request नहीं करता, इसलिए app के पास share करने के लिए कोई location information नहीं है। हालांकि जिस भी server से यह connect करता है, उसे IP तो स्वाभाविक रूप से दिखता है।
      Xavier”
    • DNS level पर ad servers block करना ज्यादा आसान है
      configurable होने की वजह से मैं NextDNS [1] इस्तेमाल कर रहा हूं, और AdGuard [2] DNS भी शायद ठीक काम करेगा
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • dependencies कम करने का तरीका है grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • विज्ञापन एक virus है जो पूरे ecosystem को infect करता है

    • viruses में अभी भी कई unsolved mysteries हैं, वे चल रहे ecosystems के लिए हमारी सोच से ज्यादा अहम हो सकते हैं, और कुछ उपयोगी tricks भी हैं जो सिर्फ viruses कर सकते हैं
      यह तो बल्कि lead poisoning के ज्यादा करीब है
    • विज्ञापन harmful चीजें फैलाने के लिए एक आदर्श transmission vector जैसा है
      अपने-आप में कुछ गलत नहीं है, लेकिन बुरे काम करने वाले लोग इसे बहुत पसंद करते हैं
  • संबंधित पोस्ट: FTC ने location data बेचने वाली Gravy Analytics और Venntel पर कार्रवाई की, 194 points·158 comments
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • क्या यह समझना सही होगा कि ये ऐप्स location data की अनुमति के लिए operating system permissions को bypass कर सकते हैं?

    • मुझे आशंका है कि iOS पर ऐप्स Background App Refresh का दुरुपयोग तो नहीं कर रहे
      मेरी समझ में, समय-समय पर network requests भेजने वाला background task बनाना मुश्किल नहीं है
      background task किसी unique identifier के साथ ad network server को HTTP request भेजे, और server IP geolocation process कर ले, बस
      कई mobile networks में accuracy बहुत अच्छी नहीं होगी, लेकिन कुछ ISP में IP मोहल्ले के स्तर तक granular होते हैं, इसलिए Wi‑Fi पर यह काफी बारीक हो सकता है
      इसी संभावना को देखते हुए मैंने लगभग सभी apps के लिए Background App Refresh बंद कर दिया था, और app experience में कोई गिरावट नहीं आई
      iOS पर tracker IP requests रोकने के लिए device के भीतर dummy VPN बनाने वाला 1Blocker इस्तेमाल करते हुए, Background App Refresh बंद करने पर मैंने देखा कि blocked requests की संख्या काफी घट गई
      उनमें से कुछ Sentry जैसी harmless diagnostics थीं, लेकिन ज़्यादातर वैसी नहीं थीं
      iOS development से परिचित कोई व्यक्ति background tasks की execution limits को देखते हुए समझा सके तो अच्छा होगा कि यह सच में संभव है या नहीं
    • बात यह है: “इस geolocation dataset का बड़ा हिस्सा IP addresses को geolocation में lookup करके inferred लगता है। यानी vendor या उसके sources GNSS/GPS data के बजाय user का IP address देखकर geolocation निकालते हैं। इससे संकेत मिलता है कि data पूरी तरह location data SDKs से नहीं आया है”
      शायद permission on हो तो location इस्तेमाल करते हैं, नहीं तो IP geolocation पर fallback करते हैं
      real-time bidding privacy के लिहाज़ से nightmare है; यह user के behavior को real time में सभी ad providers तक फैला देता है और फिर “दुरुपयोग नहीं करेंगे” वाली pinky promise पर भरोसा करता है
    • नहीं
      जहाँ precise location data है, वहाँ user ने permission allow की होती है
      Candy Crush को precise location क्यों माँगनी चाहिए, यह मुझे नहीं पता, लेकिन मुझे काफी यकीन है कि CC ऐसी permission request नहीं करता
  • निजी तौर पर मैं इंतज़ार कर रहा हूँ कि सरकार Tinder पर कड़ा कदम उठाए
    कई dating apps को मिलाने के बाद उसके पास जो monopoly power है, वह वाकई बेहिसाब है
    internet के उभार से पैदा हुए social externalities को लेकर सब शिकायत करते हैं, लेकिन लंबे समय में किसी देश की सफलता के लिए इससे ज़्यादा अहम variables बहुत कम होंगे

    • Tinder में ठीक-ठीक समस्या क्या है, यह जानना चाहूँगा
      मैंने इसे कभी इस्तेमाल नहीं किया, लेकिन मोटे तौर पर इसे sex के लिए Facebook जैसा समझता हूँ
      क्या यह Meta की services से भी बदतर है?